Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

統合アクセスポリシー

統合アクセスポリシーにより、GBPのサポートがMistアクセスポイント(AP)にまで拡張されます。

Junos OSリリース25.4R1以降、サポートされている プラットフォームに記載されているEX4100、EX4400、EX4650、QFX5120スイッチの有線および無線クライアントの統合アクセスポリシーがサポートされています。

統合アクセスポリシーにより、サポートされているスイッチがMist APからGBPタグを学習できるようになり、有線クライアントと無線クライアントの両方がGBPマイクロセグメンテーションに参加できるようになります。

GBPメッセージ

サポートされているスイッチで統合アクセスポリシーを有効にすると、スイッチは独自のGBPメッセージを通じて、接続されたMist APからGBPタグの割り当てを学習します。

表1に 、2種類のGBPメッセージを示します。

表1:GBPメッセージ
GBPメッセージタイプ 説明
GBPの更新

GBPアップデートメッセージには、MACアドレスとGBPタグ間のマッピングが含まれています。これは、タグ割り当てを受信者に伝えるための送信者からの要求メッセージまたは非送信請求メッセージです。

これは、ユニキャストメッセージまたはマルチキャストメッセージです。
GBPルックアップ

GBPルックアップメッセージは、メッセージ内で指定されたMACアドレスのGBPタグ割り当てを受信側から取得するための送信者によるリクエストです。

これはユニキャストメッセージです。
注:GBP更新メッセージにはMACベースのGBPタグ割り当てのみが含まれ、GBPルックアップメッセージにはMACベースのGBPタグ割り当てのみをリクエストします。

図1 にGBPメッセージの形式を示します。メッセージには、改ざんを検出するためのキーが署名されています。

図1:GBPメッセージフォーマット GBP Message Format

以下のセクションでは、これらのメッセージがどのように使用されるかについて説明します。

UAPアクセスリンク

UAPアクセスリンクとは、UAP対応アクセススイッチをMist APに直接的または間接的に接続するリンクを指します。Mist APは、GBPメッセージ交換を介して、このリンクを介してアクセススイッチにGBPタグ割り当てを伝達します。

具体的には、Mist APとアクセススイッチは次のように動作します。

  • 認証中に無線クライアントにGBPタグが割り当てられた場合、Mist APは、MACベースのGBPタグの割り当てを含むマルチキャストGBP更新メッセージをアップストリームアクセススイッチに送信します。メッセージ内の宛先マルチキャストMACアドレスは 5d:5b:35:ff:ff:01 に設定され、送信元MACアドレスはMist APのMACアドレスに設定されます。

    アクセススイッチがこのGBP更新メッセージを受信すると、スイッチは指定されたMACベースのタグ割り当てでMACアドレステーブルと内部データ構造を更新します。

  • GBP更新メッセージがドロップされるか、アクセススイッチが再起動すると、タグの割り当ては失われます。この状況で、アクセススイッチがGBPタグが割り当てられていない送信元MACアドレスを持つクライアントデータフレームを受信した場合、アクセススイッチは、タグの割り当てが欠落していることを尋ねるGBPルックアップメッセージをMist APに送信します。GBPルックアップメッセージの宛先MACアドレスは、Mist APのMACアドレスに設定されます。送信元MACアドレスは、アクセススイッチのシャーシMACアドレスの派生したMACアドレスに設定されます。

    Mist APがこのGBPルックアップメッセージを受信すると、Mist APは指定されたMACアドレスを検索してGBPタグを取得します。GBPタグが存在する場合、Mist APはGBPルックアップメッセージにタグ割り当てを含むユニキャストGBP更新メッセージを返します。応答でMACアドレス宛先ユニキャストは、アクセス スイッチのMACアドレスに設定されます(シャーシ MACアドレス の派生)。送信元MACアドレスは、Mist APのMACアドレスに設定されます。

図2 は、有線クライアントと無線クライアントを接続するEVPN-VXLANネットワークにおける統合無線アクセスポリシーを示しています。有線クライアントのGBPタグは、通常通りGBPフィルターまたはRADIUS認証を介して割り当てられます。無線クライアントのGBPタグはRADIUS認証を介して割り当てられ、タグの割り当てはGBPアップデートメッセージでアップストリームスイッチに伝達されます。GBP更新メッセージを受信するスイッチは、GBPタグがCLIを介して割り当てられたか、ローカルで学習されたかのように、GBPタグの割り当てを使用して、MACアドレステーブルと内部データ構造を設定します。その後、通常のGBPタグ処理が行われます。CLIではなくGBPメッセージを介してタグが割り当てられるため、機能に制限や制限はありません。

図2:EVPN VXLANネットワークUnified Access Policy in an EVPN-VXLAN Networkにおける統合アクセスポリシー

上記の例はEVPN-VXLANネットワーク内のUAPを示していますが、純粋なL2ネットワークでもUAPを設定できます。UAP機能は、基盤となるインフラストラクチャから独立して動作します。

注:GBPアップデートメッセージで学習したGBPタグと競合するGBPタグを割り当てるために、CLIを使用しないように注意してください。CLIを介してMACアドレスに割り当てたGBPタグが、GBPアップデートメッセージで同じMACアドレスに対して学習されたGBPタグと異なる場合、予期しない動作が発生します。

UAPスイッチ間リンク

UAPアクセスリンクがアクセススイッチをMist APに接続するのに対し、UAPスイッチ間リンクがUAP対応スイッチを純粋なレイヤー2ネットワークで相互に接続します。UAPスイッチ間リンクのインターフェイスを設定すると、そのインターフェイスでGBPメッセージの交換が許可されます。このようにして、MACベースのGBPタグは、ネットワークを介してすべてのUAP対応スイッチに伝播されます。

注:スイッチ間リンク間でGBPメッセージを送受信するには、LLDPを有効にする必要があります。LLDPにより、隣接するUAP対応スイッチが相互に検出できます。

具体的には、UAP対応スイッチの動作は以下のようになります。

  • 無線 - アクセススイッチがMist APからGBP更新メッセージを受信すると、アクセススイッチは UAPアクセスリンクの 説明に従ってメッセージを処理し、このマルチキャストメッセージをすべてのスイッチ間リンクインターフェイスに渡します。このメッセージは、このタグ割り当てが学習されたすべてのUAP対応スイッチに伝播されます。

  • 有線 - アクセススイッチが有線ユーザーのGBPタグ割り当てを学習した場合(例えば、CLI設定やRADIUS認証を介して)、そのタグ割り当てを含むユニキャストGBP更新メッセージを作成し、スイッチ間リンクを介してUAP対応ネイバーに送信します。

この方法でネットワーク全体にGBP更新メッセージを渡すことで、アクセススイッチはイングレスで送信元と宛先の両方のGBPタグにポリシーを適用できます。ただし、この機能は、純粋なL2ネットワーク内のUAP対応スイッチに限定されています。

図3 は、GBPメッセージが純粋なレイヤー2ネットワーク全体のスイッチ間リンクを介してどのように伝播するかを示しています。有線クライアントと無線クライアントの両方からのGBPタグは、この方法で伝送されます。

図3:ピュアレイヤー2ネットワークUnified Access Policy in a Pure Layer 2 Networkにおける統合アクセスポリシー

UAPの設定

UAPを設定するには、この手順を使用します。
  1. GBPメッセージの署名と検証に使用するキーを設定して、統合アクセスポリシーを有効にします。
    このキーは、署名と検証に使用されます。

    • Mist APとの間で送受信されるGBPメッセージ、および

    • UAPスイッチ間リンクで送受信されるGBPメッセージ

    ここで、 <key> はGBPメッセージの署名と検証に使用されるキーです。この <key> は、Mist APとすべてのUAP対応スイッチで設定したキーと一致する必要があります。

  2. スイッチがGBPメッセージを送受信するインターフェイスを指定します。
    インターフェイスには2種類あります。両方を同じスイッチに同時に存在できます。
    1. Mist APに直接、または統合アクセスポリシーをサポートしていないスイッチ、または統合アクセスポリシーが有効になっていないスイッチを介して接続するインターフェイスを指定します。
      <if-name>は、Mist APに面するインターフェイスの名前です。
    2. UAPスイッチ間リンクインターフェイスを指定します。これらのインターフェイスは、純粋なレイヤー2ネットワークでUAPスイッチ同士を接続します。
      注:UAPスイッチ間リンクインターフェイスは、純粋レイヤー2ネットワークに対してのみ設定します。
      <if-name>       はスイッチ間リンク インターフェイスの名前です。

    この手順を繰り返して、該当するすべてのインターフェイスをカバーします。

  3. マルチホーム展開の場合、GBPメッセージで使用する送信元MACアドレスを設定します。

    デフォルトでは、UAP対応スイッチはシャーシのMACアドレスから派生した送信元MACアドレスを使用します。これにより、各UAP対応スイッチの送信元MACアドレスが異なり、シングルホーム導入で望ましい動作となります。

    ただし、マルチホーム展開では、UAP対応アクセススイッチが2台のUAP対応アップストリームスイッチに接続されている場合、GBPメッセージ交換のために、接続された両方のアップストリームスイッチを1つとして表示する必要があります。後者の場合、接続されている両方のアップストリームスイッチに同じ送信元MACアドレスを次のように設定します。

    ここで、 <source-address>は、このマルチホームシナリオでGBPメッセージに使用するイーサネット送信元アドレスです。
  4. オプションで、GBPルックアップメッセージの送信試行回数を設定します。
    ここで <count>は、応答がない場合にルックアップメッセージを送信する回数です。デフォルトのカウントは3です(設定不可能な1秒間隔)。
  5. 設定をコミットした後、インターフェイスが意図したとおりに設定されていることを確認します。
    たとえば、
  6. すべてのUAP対応スイッチについてこれを繰り返します。

GBPピュアL2プロファイルを使用する

導入によっては、L3ゲートウェイではないアクセススイッチにポリシー適用を実行する場合があります。簡略化のためにアクセススイッチをレイヤー2に残し、ルーティングとゲートウェイの責任をWANルーターに移行したいと思うかもしれません。つまり、アクセススイッチはIPルートルックアップを実行せず、L3セグメンテーションに参加できません。

この場合、 gbp-pure-l2-profileを有効にすると、ポリシーに一致する宛先IPアドレス/サブネットを追加できます。これにより、純粋なL2アクセススイッチでも、L2とL3の両方のセグメンテーションをサポートすることができます。

図4 は、WANルーターに接続されたGBP対応レイヤー2アクセススイッチを示しています。WAN ルーターは EVPN-VXLAN をサポートしておらず、GBP もサポートしていません。ただし、このシナリオでも、 gbp-pure-l2-profile を有効にし、ローカル(送信元)GBPタグと宛先IPアドレス/サブネットの組み合わせにポリシーを適用すれば、アクセススイッチはL2およびL3セグメンテーションに参加できます。

図4:GBPピュアL2プロファイルを使用したマイクロセグメンテーション

この機能により、サードパーティ製のWANおよびコア/ディストリビューションルーターをネットワークに組み込み、GBPマイクロセグメンテーションのサポートを継続できます。これは、アクセス層でポリシーを適用することで設計を簡素化し、コアインフラストラクチャへの依存を軽減する小規模なサイトに最適です。

表2表3 は、 gbp-pure-l2-profileでサポートされているGBPタグ割り当てとポリシー適用機能を示しています。ピュアレイヤー2デバイスは、タグ付けおよび適用機能のサブセットのみをサポートします。

表2:GBP Pure L2プロファイルによるGBPタグの割り当て
タグの割り当て基準... サポート

MACアドレスのみ

はい

インターフェイスのみ

はい

VLANのみ

はい1

インターフェイスとVLAN

はい1

IPアドレス

いいえ

IEEE 802.1X

はい
1EX4100スイッチではサポートされていません。
表3:GBPピュアL2プロファイルによるGBPポリシーの適用
適用 サポート

エグレス

はい。宛先GBPタグあり

イングレス

はい。送信元GBPタグと宛先IPアドレスあり

L4フィールド

はい

タグ伝搬によるイングレス

いいえ

明示的なデフォルト破棄

いいえ

MAC/IPインタータギング

いいえ

フィルターベースのフォワーディング

いいえ

以下は、 gbp-pure-l2-profileでGBPを設定する例です。

注:このネットワークユースケースではEVPN-VXLANは必要ありませんが、(歴史的な理由から)VTEPを作成する必要があります。この手順を開始する前に、VTEPを作成してください。VTEPの設定例を次に示します。これをネットワークに合わせて変更します。 すべての VLAN の場合:
  1. gbp-pure-l2-profileのアクセススイッチを設定します。
    これにより、UFTテーブルのサイズが純粋なL2導入に適切に設定されるだけでなく、(ステップ 3を参照)宛先IPアドレスの一致を含むポリシー適用フィルターを作成することもできます。
  2. Mist APに接続するアクセススイッチでUAPを設定します。UAPの設定を参照してください。
  3. GBPポリシー適用フィルターを作成します。
    宛先IPv4アドレスに一致するフィルタを拡張します。たとえば、